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打破 后 端 限 制 | 


O 
Gregory Pickett, 获得 CISSP, GCIA, GPEN 等 
多 项 认证 
ME, 伊利 话 斯 州 


+ 父 通 系统 
* 逆 向 工程 
我 的 发 现 
© 漏 洞 利用 


士 
$ 经 验 总 Za 


O 18] 52 
*] 地 鉄 黒 客 剖 析 (2008) 
+ NFCHHEZ(2012) 
如 何 侵 入 全 国 交 通 网 络 (2012) 
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© 有 何不 同 


+ BANE IA 
我 们 不 会 价 丛 激进 车 站 
我 们 不 会 攻击 终 疡 
我 们 不 利用 社会 工程 学 ， 也 不 攻击 有 线 
/无 线 网 络 
+A AREA 
HARE A ATRAS 
# 我 们 不 会 克隆 磁 条 、 无 线 射 频 卡 、NF 


© 有 何不 同 


名 而 是 天 于 
名 应 用 程序 的 逻辑 缺陷 
好 吧 ， 实 际 上 用 到 了 克隆 ， 但 不 是 将 
其 作为 漏洞 进行 利用 
名 利用 应 用 程序 安全 来 攻击 现实 世界 中 
复杂 的 多 层次 解决 方案 


O NER 
曼谷 捷 运 公司 (BTS) 
曼谷 城 铁 交 通 系 统 

# 服务 于 整个 曼谷 地 区 
Ce ~ as 
两 条 城 铁 线 ， 沿 途 共 43 个 车 站 


+ MEF (NFC) 
SHOR (WR) MPR R) 


年 要 
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O 为 什么 选择 他 们 ? 


+ HARAR? 

+ — ERA APRA! 
$ KA DARIE S BA 
+ 1-15 1-1: 2 AE... 


+ IVEI 5 zS 

过 中 国 制 造 
标准 或 原始 读数 
+ AIRE 


+ زم‎ SEAY TERE 
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问题 


名 数据 位 置 

ع زر 28905 + 

+ METH, 

+ MES x 

+ AGM 
ESA 
重复 状态 或 无 序 转 换 


SS 


+ REID RE 


头 验 至 工作 


EQE6421145 7526 FC2ES43A DOFF74 DOC20EFCE0933438 
EQE6421145 7526 FC2E8432 DOFF74 DOC20EFCE0933438 
0x00 


EQE6421145 5826 E62ESE0A 00E0E64211455826E62E8E0DA, 
EQE6421145 5826 E62ESE0A 00EDE64211A55826E62ESE0A, 
0x00 


SS 
实验 室 工作 


3 # 党 试 标准 解码 
国际 标准 化 组 织 
:6 位 字符 集 和 4 位 字符 集 
s 有 些 使 用 奇偶 校 验 ， 有 些 则 不 使 用 
# 尝试 对 其 前 后 数据 解码 


$ 未 使 用 相 天 标准 
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E0E6421145 7826 FC2ES43A GOFFA DOC20EFCE0933438 


0x00 
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0x00‏ 


Known 
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* The section marked “Known” is always 100 + the price of the ticket 
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Ee 
现场 工作 


二 在 城 铁 系统 中 使 用 车 票 
* 毎 次 使用 不同 立入 人 
观察 数据 变化 

通过 变化 来 确认 其 含义 


ee 
现场 工作 


FC2E8434 98F24 DOC20EFCE0933438‏ 826 642115 عطللع 
ss‏ سم ل لل 98974 


Eb2EBEUA HEHE‏ 5826 اننم ملع 
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Known 
Duplicate 


Never Changes (Station to Station, Yearto Year) 
Overwritten on Use 


Second 
DU1CCF12 
E12CDD95 
A42D3E 71 
7A2DAE36 
781C7D55 
ESIEAECA, 
E62E8E04, 
322CFF14 
001F3DD1 
042F7F78 
ES2EE6CF 
ES2EF6A3 


GUID 
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QOD60F F548 8 946C5 


DOD60F F548 8 AA67B 


GUID 


00D20F B081 A 60878 


0006 마 B081 A 724C5 


801COF E948 D 8681B 


D0D20F E948 A E0A41 


DOC20E FBD8 8 D38D2 


801C0F 0D69 9 D6A2C 
801C0F 1909 D SEADA 
00060F 2631 E 58E52 
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00208 FCE0 9 33438 
00D60F 0631D 0 
00D60F 0631 D 72498 
00D20F 0069 7 8 
N/A N/A 
00820E 2631 7E1CCO 
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Station 


FS1CCS1D 
F52CD5A9 
B02D364D 
B02D46D4 
E31E 76ED 
FB1EA ぬ 6FC 
FC2E8434, 
D62FF509 
D61F35FF 
OD2F 7759 
192FE79A 
262FF7C9 


Station 
15 Ari DO4034E7 
22 Ari E0406C15 
16 Ari A341 760E 
16 Ari 7A410149 
16 Ari 78401432 
16 Sanam Pao E542D0B4 
16 Sanam Pao E6421145 
16 Ari 32404491 
23 Ari FF421002 
16 Ari 03430838 
140 Sanam Pao E9D69E36 
140 Sanam Pao E9D64094 


Date Baht 
2017 
2017 
10/23/2017 
10/23/2017 
9/1/2018 
9/19/2018 
9/20/2018 
9/30/2018 
9/30/2018 
10/7/2018 
10/19/2018 
11/1/2018 
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“Issued” 


0x00E078401A327826E91E76EDOOFF74801COFE948D8681B 


f “Used 7 
Entering 
0x00E078401A327826E91E76ED00FF74801C0FE948D8681B 


Exiting “Collected” 


eee 
现场 工作 
钊 对 于 半日 票 ， 已 知 部 分 或 者 "100+ 
价格 "部 分 ， 补 用 来 仍 路 行程 
书童 日 票 有 一 项 独特 的 “ 永 不 变更 "项 
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处 理 规 则‏ 
HU,‏ + 3 


Meri 车 票 必 须 处 于 "collected "状态 
进 站 前 ， 车 票 必 须 处 于 “Issued "阶段 
$ en MUA, SEAL 
于 “Used” 状 态 


Ee 
年 政府 的 研究 
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+ MAN 
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终极 手段 


当地 文化 
3 + 因 扰 乱 秩序 而 受罚 


不 会 留意 
* 不 会 共 心 
+ [FREER AE? 


* Avoiding Farang 


ee 
利用 该 系统 


名 当前 已 知 信息 

+ 系统 安全 措施 
+ BTS 的 假设 

> 对 假设 进行 攻击 

+ 史诗 般 的 失败 | 


ee 
当前 已 知 信息 


BPR 
を 物理 対象 
名 数据 库 对 象 
ま 属 性 
名 识别 
* {8 
キ 位 買 


gi 
当前 已 知 信 息 
外 状态 
+ |ssued 
+Used 
* Collected 


名 历史 


ee 
系统 安全 指 施 


包 父 通 卡 的 组 成 和 设计 
镜像 物理 对 象 和 数据 库 对 和 象 
人 处理 规 则 定义 了 如 何 有 效 使 用 对 象 
使 用 周期 限制 为 24 小 时 
父 通 卡 用 完 后 将 被 回收 


Ca 
BTS 的 假设 


$$ 没 人 能 复制 我 们 的 交通 卡 

我 们 的 系统 只 存在 有 效 对 象 
$$ 处理 规 则 能 够 防止 车 票 并 发 使 用 
使 用 周期 的 限制 降低 了 损 囊 的 发 生 
使 用 后 ， 车 票 将 在 我 们 手中 


= 
对 假设 进行 攻击 
名 狭 取 合 适 的 车 标 
# 捕捉 有数 対象 
HS rs 
扩展 攻击 以 增加 损害 


史诗 般 的 失败 ! 


制作 空 日 车 票 
过 复制 大 量 处 于 Issued’ 状 恋 的 対象 

+ RIAD لكل ذا‎ GR BES 

在 当前 使 用 周期 中 寻找 “Collected” 状态 
覆盖 其 他 所 有 状态 ! 

对 象 最 近 的 状态 都 为 “Collected” 
外 运行 原始 车 票 
所 有 复制 票 立 即 生效 


史诗 般 的 失败 ! 


“Collected” 


ze Copy 


user 5 
Entering 1 


© 


“Collected” “Collected” “Collected” “Collected” 


Exiting 


史诗 般 的 失败 ! 
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“Used” `N “Used” 
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“Collected” 
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SUBWAY PASS 


“Issued” 


cee 


Entering 


cee 


Exiting “Collected” “Collected” “Collected” “Collected” 


史 侍 般 的 失败 | 


Before Use After Use 

First Magstripe (Hole) First Magstripe (Hole) 
Date Baht Station Track Track l 
10/7/2018 16 Anl Ox00E0 03430838 7926 0D2F7739 OOFF 74 00D20F 0D697408E8 Ox00E0 03430838 7926 0D2F 7799 OOFF 74 BULCOF OD699D642C 
10/7/2018 16 Anl Ox00E0 03430838 7926 0D2F 7759 OOFF 74 00D20F 0D697408E8 Ox00E0 03430838 7926 OD2F 7799 OOFF 74 80040 UD693F6934 


10/7/2018 16 Ari 0x00E0.03430838 7826 0D2F7753 OOFF74 00D20F 0069140368 01000 03430838 7826 00167759 00FF74 80040F 0069026878 


11/1/2018 140 Sanam Pao 01000 E9D64094 B846 262FF7C9 OOFFFO 00820E 1631751000 OXODEO E9D64094 B846 262FF7C9 OOFFEF O00GOF 2631659652 
11/1/2018 140 Sanam Pao 01001 E9D64094 B846 262FF7C9 OOFFFO O0820E 26317E1CCO 07000 E9D64094 B846 262FF7C9 OOFFEF BOLCOF 0 


史诗 般 的 失败 ! ( 示 池 ) 
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CE 
SIZE A 
名 阿里 巴巴 的 建议 邀请 书 
市 运行 试验 
$ + RR! 


Az AS 
Bo] E E Ea 
+ 成 千 上 万 的 公司 (可能 数 百 万 ) 
二 告诉 他 们 你 想 要 什么 


任何 你 需要 的 ! 
他 们 会 为 你 做 的 


Ca 
运行 试验 
很 多 提供 者 
+ 具有 一 家 公 司 合格 
名 无 法 满足 卡片 所 需 的 厚 必 
化 了 好 几 个 月 才 找 到 他 们 


小 ! 


中 标 ! 


CE 
计划 

JE (BA) 
e BFE 

。 使用 原始 年 票 
* DREH | 
+ PAJA Ò! 
まき 明 天 接着 来 ! 


Attack Damage 


Daily Pass Counterfeits Baht Us 
$140 B15 8700 5 22.58 
$140 $30 10 $1,400 $ 45,16 
$140 $3,000 1,000 $140,000 $ 4,516,13 


1 Month $4,258,333 53 9 
6 Months $25,550,000 53 5 
1 Year $51,100,000 58 0 
5 Years 255,500,002 8 8 
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Extend the attack! 


SROWIF 


对 BTS 的 影响 
+ 数 百 万 美元 的 损失 
+ 38! 


SROWIF 
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BTS 的 回应 


名 你 哪 位 ? 


+ AJA | 


人 士 
주 uy A ZA 


+ 对 于 我 们 
+ 对 于 BTS 
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对 于 我 们 


* 没有 只 针对 硬件 的 解决 方案 
# 解决 方案 通 单 很 复杂 

+ 软件 无 处 不 在 

+ 相信 假设 是 危险 的 

* 不 要 害怕 人 研究 万 问 

+ 行动 前 明确 风险 

+ 制定 包含 所 有 相关 廊 的 计划 


对 于 BTS 


+ PRILA <[ ROMER 

* 不 是 所 有 和 人 都 按照 你 的 想法 和 思维 做 事 
* 示 十 泡 通 , 坦 然 交 流 

+ 用 证 据说 话 

+ ]_ 222 , ANA 


ESTE 


+ 测试 解决 方案 中 的 所 有 层级 
+ Mil BA 
+ 检查 你 的 假设 是 否 合 理 


+ 使 用 补 位 和 缓解 机 制 


他 们 如 今 在 做 什么 
* 部 署 第 二 代 系 统 


+ PASAN F RE 
仍然 急 视 " 销 误 的 人 ” 
+ 仍然 无 倪 我 


+ 父 通 系 统 很 有 趣 

+ 同时 也 会 市 来 麻烦 

+ رار رار 522 ج212‎ 2112-1 2 ALS 
+ 逆向 工程 是 关键 

+ 你 有 种 ! 

* AMARE RA ALANS TS 
+ 应 用 安全 的 胜利 之 路 ! 


Ee 
链接 


* https://wikileaks.org/wiki/ 
Anatomy of a Subway Hack 2008 


+ https://file.wikileaks.org/file/anatomy-of-a-subway-hack.pdf 


+ https://defcon.org/images/defcon-16/dc16-presentations/ 
anderson-ryan-chiesa/47-zack-reply-to-mbta-oppo.pdf 


+ https://www.computerworld.com/article/2597509/def-con-- 
how-to-hack-all-the-transport-networks-of-a-country.html 


+ https://www.cio.com/article/2391654/android-nfc-hack- 
enables-travelers-to-ride-us-subways-for-free-- 


researchers-say.htm 
©) + https://www.youtube.com/watch?v=-uvvVMHnC3c 
+ https://www.blackhat.com/docs/asia-17/materials/asia-17- 
Kim-Breaking-Korea-Transit-Card-With-Side-Channel- 
Attack-Unauthorized-Recharging-wp.pdf 
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https: //www.msrdevice.com 


https: //www.msrdevice.com/product/misiri-msr705x-hico- 
magnetic-card-reader-writer-encoder-msr607-msr608- 
msr/05-msr/06 


https://www.alibaba.com/ 
https://nexqo.en.alibaba.com 
http://www.nexqo.com/ 
https://www.bts.co.th/ 
http://www.btsgroup.co.th 


$ 


$ $ $ $ $ 


